CEO-ul Coinspeaker LayerZero respinge afirmațiile privind vulnerabilitatea critică ca fiind „fără temei”

Într-o serie de schimburi aprinse pe X (fostul Twitter), cofondatorul și CEO-ul LayerZero Labs, Bryan Pellegrino, a respins afirmațiile privind o vulnerabilitate critică în protocolul LayerZero ca fiind „complet fără temei”.

Controversa a început când cercetătorul pseudonim de securitate blockchain 0x52 a dezvăluit ceea ce el a pretins a fi un defect critic în protocolul de mesagerie al lui LayerZero. De atunci, 0x52 și-a șters tweetul original și și-a cerut scuze pentru alarma falsă.

Mi-am șters postările anterioare. Ar fi trebuit să validez în continuare toate aspectele înainte de a posta.

Ne cerem scuze pentru @LayerZero_Labs. Multe mulțumiri lui @PrimordialAA pentru că a făcut ceea ce nu am reușit să fac și pentru că mi-ai corectat greșeala.

— 0x52 (@IAm0x52) 1 iulie 2024

Detalii despre presupusa vulnerabilitate

Dezvăluirile lui 0x52 au provenit din auditul său asupra protocolului UXD în cadrul programului de audit SherlockDefi. El a susținut că contractul de punct final al lui LayerZero, care gestionează mesajele între protocoale, nu a limitat dimensiunea mesajelor sau a adreselor de destinație.

El a avertizat că un hacker ar putea trimite un mesaj cu o adresă de destinație foarte mare, provocând erori și eventual oprirea comunicării între diferite rețele blockchain. Acest lucru ar putea duce la pierderi financiare semnificative pentru protocoalele afectate.

Conform 0x52, această vulnerabilitate ar putea afecta multe protocoale care utilizează LayerZero, în special cele care implică atât lanțuri EVM (Ethereum Virtual Machine), cât și lanțuri non-EVM, cum ar fi Solana, care utilizează diferite dimensiuni de adrese.

Răspunsul și filosofia de proiectare a CEO-ului LayerZero

Ca răspuns la 0x52, Pellegrino a răspuns spunând că abilitatea de a configura limitele de sarcină utilă este o alegere deliberată de proiectare. El a explicat că aplicarea unei limite fixe ar putea permite cenzura, ceea ce contravine obiectivului LayerZero de a crea un sistem rezistent la cenzură.

Nu numai că nu este o eroare, ci este prin proiectare în protocol

Orice protocol de mesagerie care consacră această configurație poate acum cenzura orice aplicație. Nu poți avea una fără cealaltă. Credem în șine tehnologice rezistente la cenzură.

— Bryan Pellegrino (@PrimordialAA) 1 iulie 2024

Pellegrino a mai clarificat că codul la care face referire 0x52 datează din 2022 și se referă la configurația aplicației, nu la protocolul de bază. El a declarat că limita de dimensiune a încărcăturii utile face parte din setările de securitate ale aplicației și poate fi ajustată de aplicația însăși. Pellegrino a remarcat că, dacă o aplicație nu ar putea suprascrie această configurație, LayerZero ar putea bloca mesajele aplicației prin setarea limitei de sarcină utilă la zero, ceea ce ar contrazice principiile de proiectare ale protocolului.

Pellegrino i-a încurajat pe sceptici să testeze ei înșiși sistemul, insistând că problema ar putea apărea numai dacă o aplicație a optat în mod special să o configureze în acest fel, similar cu modul în care o aplicație individuală pe Ethereum ar putea avea configurații contractuale proaste.

Pe măsură ce LayerZero continuă să se dezvolte, această discuție evidențiază necesitatea unei examinări constante a protocoalelor lor de securitate.

ZRO Token Launch Faces reacții mixte

LayerZero Labs rămâne încrezător în puterea și fiabilitatea tehnologiei sale de interoperabilitate cross-chain, care permite contractelor inteligente pe diferite blockchain să comunice și să transfere valoare prin rețele descentralizate izolate.

Recent, LayerZero a început să-și distribuie jetoanele ZRO native printr-un airdrop. Principalele schimburi cripto precum Binance și Upbit au listat ZRO, dar lansarea a fost întâmpinată cu reacții mixte. Mulți participanți au fost dezamăgiți de recompensele Airdrop. Începând de acum, ZRO se tranzacționează la aproximativ 3,5 USD, o scădere de 15% de la lansare.

Următorul

CEO-ul LayerZero respinge afirmațiile privind vulnerabilitatea critică ca fiind „fără temei”